Danmark: Datatilsynet uttrycker kritik mot Dantherm för bristande säkerhetsåtgärder

Den danska dataskyddsmyndigheten Datatilsynet har genomfört en granskning av Dantherm AS och konstaterat att företagets behandling av personuppgifter inte skett i enlighet med reglerna i artiklarna 24.1 och 32.1 i dataskyddsförordningen (“GDPR”).

Den 25 september 2020 rapporterade Dantherm att det inträffat en personuppgiftsincident till Datatilsynet. Dantherm hade utsatts för en ransomwareattack, där hackare lyckats få tillgång till Dantherms IT-miljö, från vilken hackarna läckt ut information om nuvarande och tidigare anställda på dark web. Hackarna fick förmodligen åtkomst via användaren “AV” som hade administratörsrättigheter. Användarkontot hade tidigare använts av en extern konsult som inte borde ha haft åtkomst vid attacken. Hackarna raderade de flesta av loggarna. Dantherm kunde därför inte svara på om kontot “AV” varit aktivt eller inaktiverat.

Enligt Datatilsynet får administrativa rättigheter endast ge tillgång till relevanta begränsade resurser (datorer, aktiva enheter, program, tjänster eller liknande), och loggning av all användning av rättigheterna måste säkerställas. Loggfilerna måste därför lagras på ett sådant sätt att användare med administrativa rättigheter inte kan stänga, radera eller ändra loggen.

Efter en granskning av ärendet konstaterade Datatilsynet att Dantherms behandling av personuppgifter inte uppfyllt kraven på lämplig säkerhet i artikel 32.1 GDPR. Datatilsynet framhöll särskilt att Dantherm inte hade säkerställt att användare med administratörsrättigheter inte kunde ta bort eller ändra loggfilerna.

Därutöver konstaterade Datatilsynet att Dantherm inte hade uppfyllt kravet att personuppgiftsansvariga måste kunna visa att lämpliga säkerhetåtgärder vidtagits vid behandling av personuppgifter enligt artikel 24.1 GDPR. I detta sammanhang betonade Datatilsynet att Dantherm inte kunde visa under vilka perioder ”AV”-kontot varit aktivt.

Mot denna bakgrund fann Datatilsynet skäl för att uttrycka kritik mot att Dantherms behandling av personuppgifter inte hade skett i enlighet med reglerna i GDPR.

Enligt Datatilsynet ärendet gällde ärendet så kallad gränsöverskridande behandling av personuppgifter då anställda i bland annat Tyskland, Polen och England påverkats av överträdelsen. Datatilsynet har därför fattat ett beslut i egenskap av den ledande tillsynsmyndigheten enligt “one-stop-shop-mekanismen” i GDPR.

Du kan läsa pressmeddelandet, endast tillgänglig på danska, här.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.